Con l’entrata a regime di NIS2, DORA e AI Act, e con l’inasprimento delle sanzioni 231 per i reati informatici, la sicurezza informatica esce dal perimetro tecnico ed entra in quello degli adeguati assetti. Per l’organo amministrativo non è più una scelta discrezionale.
Per anni la cybersecurity è stata trattata come una questione da delegare alla funzione IT: un tema di firewall, antivirus e backup. Quella stagione è finita. Il quadro normativo degli ultimi diciotto mesi — dalla Legge n. 90/2024 sulla cybersicurezza nazionale al recepimento della Direttiva NIS2, fino all’AI Act — ha spostato il baricentro: la gestione del rischio informatico è oggi una componente strutturale del governo d’impresa, di cui rispondono in prima persona amministratori e organi di controllo.
Il punto, a nostro avviso, è questo: non è più sufficiente considerare il rischio cyber solamente come una questione tecnica. Il vero rischio è organizzativo.
L’art. 24-bis del D. Lgs. 231/2001 include da tempo i reati informatici tra quelli presupposto della responsabilità amministrativa degli enti. La novità è il trattamento sanzionatorio: la Legge n. 90/2024 ha innalzato in modo significativo le sanzioni pecuniarie a carico dell’ente — per le fattispecie del primo comma la cornice della sanzione pecuniaria passa da 100–200 a 500–700 quote — e ha introdotto la nuova ipotesi di estorsione mediante reati informatici, punita con la sanzione pecuniaria fino a 800 quote e con sanzioni interdittive per una durata non inferiore a due anni.
Il messaggio per le imprese, anche quelle che nulla hanno a che vedere con il settore tecnologico, è chiaro: qualunque uso improprio di un sistema informatico da parte di un apicale o di un dipendente, nell’interesse o a vantaggio dell’ente, può oggi tradursi in responsabilità diretta della società. E i dati confermano l’urgenza: secondo il Rapporto Clusit 2026, nel 2025 gli incidenti informatici in Italia sono cresciuti del 48,7% rispetto all’anno precedente — il valore più alto mai registrato.
È qui che il discorso si fa interessante per l’organo amministrativo. Un’infrastruttura non adeguatamente protetta non è soltanto una criticità tecnica: può configurare una carenza degli assetti organizzativi, amministrativi e contabili richiesti dall’art. 2086 c.c. Un attacco ransomware che blocca la fatturazione, oscura i flussi finanziari e ostacola gli adempimenti fiscali incide direttamente sulla continuità aziendale — e diventa, in quella prospettiva, un problema di governance, non di reparto.
Ne discende un criterio operativo concreto: la presenza di investimenti coerenti e documentabili in sicurezza informatica costituisce un indice di effettiva attuazione del Modello di Organizzazione, Gestione e Controllo ai sensi del D. Lgs. 231/2001; al contrario, uno squilibrio evidente tra il livello del rischio e i mezzi destinati a fronteggiarlo può essere letto, in sede di giudizio, come sintomo di una carenza organizzativa.
La debolezza ricorrente, nella prassi, è la separazione tra funzione IT e area compliance: due mondi che non si parlano, due analisi che non si incontrano. Superarla richiede di muoversi su tre direttrici coordinate.
NIS2, DORA per il settore finanziario e la progressiva applicazione dell’AI Act convergono su un punto: non vivono come adempimenti separati, ma come tasselli di un unico sistema di controllo interno. Per l’impresa, costruire presidi paralleli e ridondanti significa moltiplicare i costi e indebolire l’efficacia. La via efficiente è l’opposta: ricondurre cyber, privacy, governance dell’AI e Modello 231 a un’unica architettura, modulare e coerente.
È il terreno su cui un Modello efficace si distingue da un documento inerte. La giurisprudenza di legittimità lo ribadisce da tempo: non basta adottare formalmente un Modello, conta la sua effettiva integrazione nell’organizzazione e la sua reale capacità di prevenire i rischi. Un Modello efficace non è quello che evita ogni incidente — obiettivo per definizione irraggiungibile — ma quello che consente all’ente di dimostrare di aver adottato ogni ragionevole misura di prevenzione.
A cura di Raffaele de Stefano e Annalisa Regi
In SAPG Legal affianchiamo imprese nell’integrazione dei presidi di cybersecurity, data protection e governance dell’AI all’interno del Modello 231, con un approccio che tratta la sicurezza informatica per ciò che è: parte integrante della governance dell’ente. Per una valutazione della vostra organizzazione, il nostro team è a disposizione.
SAPG Legal
Area Compliance e Modelli Organizzativi
Avv. Annalisa Regi
Avv. Raffele de Stefano
Avv. Giovanni Di Stefano
L’ente gestore di edilizia residenziale pubblica che agisce per far dichiarare l’inefficacia di una disposizione testamentaria che non ha mai prodotto effetti ha interesse ad
Il 18 marzo 2026 la Commissione europea ha presentato la proposta di regolamento n. 2026/0074, con cui introduce la EU Inc., nuova forma societaria di diritto europeo progettata per operare nativamente su scala continentale. Concepita come alternativa alle forme nazionali esistenti e non sostitutiva di esse, la EU Inc. si caratterizza per una struttura integralmente digitale — dalla costituzione in 48 ore senza capitale minimo obbligatorio alla dematerializzazione delle partecipazioni — e per strumenti di raccolta del capitale allineati alle prassi internazionali del venture capital, inclusa l’eliminazione del valore nominale delle quote. Il contributo analizza la natura giuridica dell’istituto, le modalità di costituzione tramite il sistema BRIS e l’integrazione con il regolamento eIDAS 2.0, la struttura finanziaria, e le prospettive di adozione alla luce della tempistica negoziale annunciata dalla Commissione per la fine del 2026.
Lo scorso 9 gennaio 2026 è stato pubblicato in Gazzetta Ufficiale il D. Lgs. 211/2025, attuativo della Direttiva (UE) 2024/1226, che introduce nel sistema 231 nuove fattispecie di reato connesse alla violazione delle misure restrittive dell’Unione europea. L’intervento normativo amplia il catalogo dei reati presupposto e ridefinisce il regime sanzionatorio applicabile agli enti, incidendo sul perimetro dei rischi rilevanti ai fini della compliance per le imprese operanti in contesti esposti a regimi sanzionatori internazionali.
Il caso della successione di Giorgio Armani offre un modello avanzato di pianificazione del passaggio generazionale nelle imprese familiari. Attraverso una struttura societaria articolata, caratterizzata da categorie di azioni con diritti differenziati, dal ruolo centrale della Fondazione Giorgio Armani e dalla presenza di un fiduciario interno, il fondatore ha costruito un sistema pensato per garantire continuità, stabilità e coerenza strategica anche oltre la propria figura. L’assetto delineato evidenzia come la tutela dei legittimari possa convivere con la concentrazione del potere gestionale in soggetti selezionati, riducendo il rischio di conflitti e dispersione di governance. Al contempo, emergono criticità legate alla rigidità del modello e alla sua complessità, che impongono un’attenta valutazione delle scelte successorie. Il caso Armani dimostra l’importanza di una programmazione anticipata e consapevole, capace di integrare strumenti societari e successori per preservare la continuità dell’impresa nel lungo periodo.
SAPG è uno studio legale internazionale con solide basi tradizionali orientato alla continua innovazione